- Chrome ha corregido zero-days críticos como CVE-2025-6558 (ANGLE/GPU) y CVE-2025-5419 (V8), ambos explotados activamente.
- Actualiza a 138.0.7204.157/.158 (Windows/macOS) y 138.0.7204.157 (Linux); versiones 137.x corrigieron V8.
- Los exploits lideran el acceso inicial; refuerza zero trust y detecciones Sigma/ATT&CK para reducir la ventana de exposición.
- Campañas como Operation ForumTroll combinan phishing y exploits; extrema la verificación de enlaces y el parcheo ágil.
El ritmo al que aparecen vulnerabilidades críticas no afloja, y el navegador más usado del planeta vuelve a estar en el centro de la conversación. Chrome ha tenido que reaccionar con parches de emergencia ante nuevos fallosque ya estaban siendo explotados de forma activa: la Protección mejorada contra zero days.
En las últimas semanas se han encadenado varios avisos relevantes: desde un escape de sandbox a través de ANGLE/GPU (CVE-2025-6558) hasta un problema grave en el motor JavaScript V8 (CVE-2025-5419), pasando por un exploit atribuido a campañas de espionaje (CVE-2025-2783). Todo esto, en un contexto donde los exploits siguen liderando el acceso inicial en intrusiones y se reportaron docenas de zero-days explotados en 2024 y 2025.
Panorama: auge de los zero-days y presión sobre los navegadores
Los datos confirman lo que muchos equipos de seguridad perciben en el día a día: la explotación de zero-days lleva varios años al alza. El equipo de Google Threat Intelligence registró 75 vulnerabilidades de día cero activamente explotadas en 2024, un indicador de que el mercado de exploits y las cadenas de ataque se mantienen en ebullición.
En 2025, los exploits siguen dominando como vector de entrada inicial en incidentes, representando en torno al 33% de los vectores de intrusión observados. Para los defensores, esto se traduce en menos margen de maniobra y más necesidad de detección y respuesta rápidas, especialmente en componentes críticos como navegadores.
El foco mediático ha estado en Chrome, pero conviene no perder de vista el contexto más amplio, incluyendo nuevos navegadores como el navegador de OpenAI, y otras tecnologías clave también han tenido fallos críticos, como el caso del firewall de aplicaciones web FortiWeb (CVE-2025-25257). El mensaje de fondo es claro: los atacantes están explotando cualquier pieza crítica de la superficie de ataque.
Este escenario exige que proveedores y organizaciones aceleren su capacidad de reacción. La Protección mejorada contra zero days es, más que una medida de precaución, una verdadera necesidad.
CVE-2025-6558: escape de sandbox a través de ANGLE/GPU
Pensando en la protección mejorada contra zero days, Google lanzó parches para varias vulnerabilidades en Chrome y confirmó que CVE-2025-6558 estaba siendo explotada activamente. Este fallo permite a un atacante remoto eludir el sandbox del navegador con una página HTML manipulada, aprovechando un manejo inadecuado de entradas no confiables en componentes como ANGLE y la GPU.
¿Por qué es tan delicado? ANGLE es la capa traductora entre el motor de renderizado y los controladores gráficos del sistema. Si se manipula a bajo nivel la interacción con la GPU, pueden abrirse vías de escape del aislamiento del navegador y tocar recursos del sistema anfitrión. Para el usuario, esto implica que con simplemente visitar una web maliciosa, el atacante podría lograr un compromiso profundo.
Aunque Google no ha facilitado el detalle técnico del exploit, sí ha señalado la explotación en escenarios reales y ha insinuado posible actividad de actores con altas capacidades. Este tipo de vulnerabilidades son especialmente apetecibles para campañas dirigidas y espionaje.
Como mitigación urgente, Google recomienda actualizar Chrome a la versión 138.0.7204.157/.158 en Windows y macOS, y a la 138.0.7204.157 en Linux. Si utilizas navegadores basados en Chromium (Edge, Brave, Opera, Vivaldi…), aplica las actualizaciones que pongan a tu disposición cuanto antes y valora alternativas a Arc. En muchos casos, cerrar y abrir Chrome tras la descarga del parche es suficiente.
El mismo lote de parches abordó otros fallos relevantes que conviene conocer, ya que un adversario puede encadenar vulnerabilidades para aumentar el impacto:
- CVE-2025-6554: error de programación capaz de provocar fallos de memoria y potencial ejecución remota de código.
- CVE-2025-6555: afecta al motor de JavaScript; podía usarse para ejecutar instrucciones peligrosas.
- CVE-2025-6556: escritura fuera de límites que permitía a webs maliciosas alterar zonas de memoria no autorizadas.
- CVE-2025-6557: problema en Mojo (comunicación entre procesos) que podía facilitar escenarios de abuso.
- CVE-2025-6558: el escape de sandbox vía ANGLE/GPU ya mencionado.
- CVE-2025-6559: condiciones de concurrencia en el sistema gráfico con efectos erráticos aprovechables.
Cómo actualizar Google Chrome de forma segura
Aunque Chrome suele actualizarse solo, es buena idea comprobarlo manualmente si hay un aviso de emergencia. En escritorio, ve a Menú > Ayuda > Información de Google Chrome. Si hay una versión pendiente, el navegador la descargará e instalará y te pedirá reiniciar para aplicar el parche.
Para estar cubierto frente a CVE-2025-6558 y el resto del paquete más reciente, asegúrate de tener la 138.0.7204.157/.158 en Windows y macOS, y la 138.0.7204.157 en Linux. En muchos casos, cerrar y abrir Chrome tras la descarga del parche es suficiente; si no, fuerza el reinicio.
Si administras un entorno corporativo, refuerza los controles: política de actualización automatizada y supervisada, revisión periódica de versiones desplegadas y comunicación a usuarios para que reinicien cuando proceda. Un retraso de días en la activación de Protección mejorada contra zero days puede marcar la diferencia en un ataque oportunista.
Y, por supuesto, si usas Edge, Brave, Opera u otros navegadores basados en Chromium, vigila sus canales estables. Los proveedores suelen publicar su propio parche sincronizado o poco después del de Chrome.
En paralelo, habilita y verifica los controles de mitigación del sistema operativo (ASLR, DEP, Control Flow Guard…) y las políticas de endurecimiento que ofrece tu endpoint, ya que estas capas pueden amortiguar la explotación mientras llega un parche definitivo.
CVE-2025-5419: lectura/escritura fuera de límites en V8
Otra alerta importante reciente es CVE-2025-5419, una vulnerabilidad de alta gravedad en el motor V8 de JavaScript/WebAssembly. Permite lectura y escritura fuera de los límites de memoria, lo que abre la puerta a corrupción de memoria y, potencialmente, ejecución de código.
Investigadores del Threat Analysis Group (TAG) de Google descubrieron el problema y, ante su explotación activa, la compañía reaccionó en dos fases: primero una mitigación de configuración a nivel de canal estable, y después un parche oficial. Las versiones corregidas fueron 137.0.7151.68/.69 en Windows y macOS, y 137.0.7151.68 en Linux.
En cuanto a naturaleza técnica, se ha descrito como un posible type confusion dentro de V8, donde la forma en que el motor interpreta objetos en memoria puede llevar a estados peligrosos. Google ha optado por reservarse los detalles técnicos hasta que un porcentaje amplio de usuarios esté ya protegido, y también para no perjudicar bibliotecas de terceros si aún quedan sin parchear.
CVE-2025-2783 y la campaña de phishing «Operation ForumTroll»
En marzo se parchó un escape de sandbox (CVE-2025-2783) utilizado para desplegar malware en ataques de espionaje contra medios y entidades gubernamentales rusas, según diversas fuentes. Meses después, otra vulnerabilidad permitió comprometer cuentas de usuario en condiciones específicas, evidenciando que los actores combinan ingeniería social y fallos del navegador.
Una investigación de Kaspersky detalla la denominada Operation ForumTroll, una campaña de phishing que suplantaba el foro internacional Primakov Readings. El correo fraudulento incluía enlaces al programa del evento y a la inscripción, pero redirigía a webs falsas que, al visitarlas con Chrome o navegadores Chromium, provocaban la infección casi automática del dispositivo.
Kaspersky apunta a que el exploit eludía mecanismos de defensa del sandbox para lograr persistencia y robo de información, con especial foco en periodistas, trabajadores del ámbito educativo y representantes de medios en Rusia. Es un buen recordatorio de que basta con abrir una pestaña maliciosa para que salte una cadena de explotación si hay un zero-day disponible.
Aunque el vector inicial fuera el phishing, la clave es que la explotación del navegador no requería interacción adicional más allá de la visita. Este modelo de ataque minimiza la fricción y aumenta la tasa de éxito, de ahí la urgencia de aplicar la protección mejorada contra zero days y reducir la superficie de exposición.
Protección mejorada contra zero-days: detecciones, zero trust y respuesta
Más allá de «parchear lo antes posible», hay medidas que elevan la resiliencia frente a este tipo de incidentes. En primer lugar, telemetría y detecciones basadas en comportamiento que ayuden a identificar anomalías propias de explotación (por ejemplo, actividad inusual de procesos de renderizado, cadenas de explotación conocidas, o abuso de IPC como Mojo).
Si hablamos de Protección mejorada contra zero days, la comunidad de detección recomienda consumir reglas Sigma y contenidos de hunting etiquetados por CVE, mapeados a MITRE ATT&CK y compatibles con docenas de formatos SIEM, EDR y data lakes. Plataformas especializadas ofrecen un mercado con cientos de miles de reglas actualizadas a diario y enriquecidas con inteligencia nativa de IA, para defender de forma proactiva contra amenazas emergentes.
Una propuesta notable es Uncoder AI, un copiloto de IA para ingeniería de detecciones que acelera la generación de reglas Roota y Sigma, transforma inteligencia de amenazas en lógica operativa, documenta y refina código, y soporta 56 lenguajes de consulta. También permite crear Attack Flows con mapeo ATT&CK mediante IA/ML para dar soporte de principio a fin a los ingenieros de detección.
Como parte del «stack» de defensa, algunas suites incluyen un botón o repositorio de Explorar Detecciones para acceder de forma instantánea a contenido verificado, con enlaces CTI, cronologías de ataque, auditorías de configuración y recomendaciones de triaje. Integrar estos contenidos en tu pipeline de detección reduce el tiempo medio de respuesta ante campañas que explotan zero-days.
En cuanto a arquitectura, refuerza una estrategia de zero trust: segmentación de redes, mínimo privilegio en endpoints, control de aplicaciones y aislamiento de procesos sensibles. Estas capas no evitarán que exista un zero-day, pero disminuyen el radio de impacto y dificultan la escalada de privilegios tras un compromiso inicial en el navegador.
Por último, mantén procedimientos claros de parcheo urgente: listas de distribución para notificaciones de seguridad, inventario de versiones desplegadas, y ventanas de mantenimiento ágiles para navegadores. En campañas como las descritas, recortar horas de exposición puede evitar compromisos a gran escala.
La foto que dibujan estas vulnerabilidades es contundente: el navegador es una puerta de entrada estratégica y los actores ofensivos lo saben. La Protección mejorada contra zero days es básica: Con parches rápidos, buenas prácticas de zero trust y detecciones listas para producción, se puede pasar de jugar a la defensiva a cortar cadenas de ataque antes de que escalen.
Redactor especializado en temas de tecnología e internet con más de diez años de experiencia en diferentes medios digitales. He trabajado como editor y creador de contenidos para empresas de comercio electrónico, comunicación, marketing online y publicidad. También he escrito en webs de economía, finanzas y otros sectores. Mi trabajo es también mi pasión. Ahora, a través de mis artículos en Tecnobits, intento explorar todas las novedades y nuevas oportunidades que el mundo de la tecnología nos ofrece día a día para mejorar nuestras vidas.